Suojakopiointi - SecMeter

Sisältöön

Suojakopiointi

Yritysturvallisuus > Valmiussuunnittelu
Tiedostojen suojakopiointi on varmuuskopioinnin tapaan tietoturvamekanismi, jolla turvataan elintärkeät tiedot niissäkin tilanteissa, joissa käyttöympäristö ja varmuuskopiot ovat tuhoutuneet.

Yrityksen tulee kaikissa olosuhteissa turvata tietojen säilyminen ja riittävä tapahtumien kirjaaminen. Normaaliolojen häiriötilanteiden varalle on oltava varmuuskopiointi toipumisjärjestelmineen.

Poikkeusolojen ja erityisesti sotatilanteiden varalle on oltava suojakopiointi toipumisjärjestelmineen, joka on toteutettu riittävän etäälle eri paikkakunnalla oleviin turvatiloihin.

Suojakopioinnin toteutukseen vaikuttavat vaikuttaa yrityksen liiketoimintaprosessien keskeiset riippuvuudet. Riippuvuudella tarkoitetaan tietoteknisten järjestelmien kautta toisiinsa linkittyneiden palveluiden toiminnallista sidonnaisuutta.

Verkostoituneessa toimintaympäristössä yrityksen omien järjestelmien toimintahäiriöiden vaikutukset saattavat aiheuttaa häiriöitä myös yhteistyökumppaneiden palvelujen käytettävyydelle. Haasteena on tietojärjestelmien lukuisat kriittiset kohdat, jotka muuttuvat ja lisääntyvät huomaamatta infrastruktuurien kehittyessä, eikä niitä ole mahdollista identifioida.
Suojakopiointi aivan kuten varmuuskopiointikin kuuluvat tietohallinnon perustehtäviin. Yrityksen hallituksen vastuulla on varmistua, että tietohallinnon perustehtävät ovat asianmukaisesti hoidettu. Tietohallinnon tarkastus tulee sisällyttää osaksi yrityksen vuotuista sisäisen tarkastuksen ja riskienhallinnan ohjelmaa. Suojakopiointiprosessin tulee olla niin kattava, että toimivien operatiivisten käyttöympäristöjen pystyttäminen on mahdollista suojakopioiden pohjalta. Uusi käyttöpalveluympäristö voidaan parhaiten luoda ns. Bare Metal varmistuksesta. BMR (Bare Metal Recovery) tarkoittaa täydellistä järjestelmäkopiota, joka voidaan palauttaa uudelle laitteistolle.

Uhkakuvat

Tulipalo
Tulipalo ja sen seurausvaikutukset saattavat muodostua ylivoimaisiksi yrityksen liiketoiminnan jatkuvuuden kannalta.

Ilmastomuutokset
Ilmastossa tapahtuu muutoksia, jotka pitkällä aikavälillä lisäävät luonnononnettomuuksien riskiä myös Suomen alueella. Erityisesti ilmaston lämpenemisen seurauksena rankkasateiden, tulvien, myrskyjen ja metsäpalojen riskin on arvioitu lisääntyvän.

Terrori-isku
Terrori-iskun uhkakuva voi liittyä mm. radikaaliryhmien toimintaan. Terrorismin tilannekuva voi yhteiskunnassa muuttua nopeasti vakaasta epävakaaksi. Yksittäisen radikaaliryhmän suorittama terrori-isku kohdistuisi todennäköisesti huolellisesti valittuun yritykseen, jolla pyrittäisiin saamaan tavoiteltu tuhovaikutus.

Ydinvoimalaonnettomuus
Ydinvoimalaonnettomuuden seurauksena ilmakehään saattaa päästä radioaktiivisia hiukkasia. Ydinlaskeuma leviää yleensä tuulen mukana. Säteily on voimakkainta onnettomuuspaikan välittömässä läheisyydessä ja heikkenee matkan kasvaessa.

Lähialueen ydinvoimalaonnettomuus
Ydinvoimalaitoksen välittömässä läheisyydessä väestön evakuointi voidaan tehdä ennakoivasti jo ennen välittömän terveydellisen uhkatilanteen syntymistä. Aikaa tähän olisi eri skenaarioiden mukaan ainakin muutama tunti. Uhkatilanteissa asukkaat evakuoitaisiin varotoimenpiteenä noin viiden kilometrin säteellä ja evakuointia harkittaisiin tuulen alapuolella 20 – 30 kilometriin asti.

Rajoitettu ydinsota
Ydinaseiden käyttöön liittyy kaikkein raskaimmat ja pitkäkestoisimmat tuhovaikutukset. Ydinaseiden rajoitettu käyttö olisi sivilisaatiolle erittäin tuhoisaa. Ydinsodan seurauksena yhteiskunta ja talouselämä joutuisivat ennen näkemättömään kriisiin.

Strateginen isku
Strategisen iskun uhkakuva on laaja-alainen ja monivaikutteinen ja siihen liittyy useita myös muista uhkakuvista tuttuja häiriötekijöitä kuten sähkökatkot, tietoliikennekatkot, julkisen liikenteen häiriöt, avainhenkilömenetykset, tulipalot ja HPM–aseiden käyttö.

Suojakopiointifrekvenssi
Suojakopiointifrekvenssiä määriteltäessä on otettava huomioon tiedon ajantasaisuuteen kohdistuvat operatiiviset vaatimukset. Mitä harvemmin tiedoista otetaan varmuuskopio, sitä pidemmältä ajalta tietokantoihin tehdyt muutokset voidaan menettää. Kopiointitiheyttä on tarvittaessa nostettava, jos yhteiskuntaa uhkaa esimerkiksi sotatila.

Eriytetty suojakopiointifrekvenssi
Vaihtoehtona aina täydellisen suojakopion kirjoittamiselle on muuttuvan datan ja ohjelmistojen suojakopiointifrekvenssien eriyttäminen toisistaan loogisiksi kokonaisuuksiksi. Kaikissa tapauksissa tällä ei saavuteta merkittäviä etuja, joten ratkaisun tarkoituksenmukaisuus on harkittava tapauskohtaisesti. Yrityksen ulkoistamissa käyttöpalveluratkaisuissa on palveluntarjoajan määriteltävä käyttöjärjestelmiin ja varusohjelmistoihin liittyvät suojakopio-osat. Yrityksen on asiakkaan roolissa määriteltävä sovellusohjelmistoihin ja dataan liittyvät suojakopio-osat.

Edellä kuvattuun tehtävään tulee sisältyä koordinointi, jolla varmistetaan, että ohjelmistopäivityksen yhteydessä otetaan aina kattava suojakopio ohjelmistoista. Palautus-tilanteessa datan ja ohjelmistojen tulee olla yhteensopivia. Tässä vaihtoehtoisessa toimintamallissa on etuna, että säännöllisesti otettavalle suojakopiolle kirjoitetaan vain data, jolloin kopion koko on pienempi ja samalla kopion siirto toiselle paikkakunnalle tietoliikennettä käyttäen edullisempaa.






Suojakopiointiajankohdat
Yrityksen tulee ottaa kuukausittaiset suojakopiot jokaisen kalenterikuukauden ensimmäisenä viikonloppuna. Mikäli suojakopiointi tapahtuu kuukautta tiheämmällä frekvenssillä, tulee yhden suoja-kopiointikerran ajoittua kalenterikuukauden ensimmäiseen viikonloppuun.

Suojakopiointi aiheuttaa palvelussa käyttökeskeytyksen, joka yrityksen on otettava huomioon suojakopiointihetkeä määriteltäessä. Eräissä tapauksissa suojakopion otto ei aiheuta käyttökatkosta muutoin, kuin mitä snapshotin otto vaatii. Snapshot on mahdollista toteuttaa myös online-ratkaisuna, josta ei aiheudu käyttökatkosta.

Tallennusmedia
Suojakopion ulkoisena tallennusmediana voi toimia esimerkiksi magneettinauhakasetit. Magneettinauhan keskeisiä etuja ovat tiedon tallennusmahdollisuus täysin ulkopuolisiin paikkoihin, pitkäaikaistallennuksen edullisuus ja mahdollisuus säilyttää tallennusmediaa erillään käyttöpalvelukeskuksesta.

Suojakopioiden sukupolvikierto
Suojakopio tarjoaa viimeisen mahdollisuuden tietojen palauttamiselle, kun ”noustaan tuhkasta”. Tämän johdosta on suositeltavaa, että suojakopioita säilytetään kolmea eri sukupolvea ja lisäksi kunkin kalenterivuoden ensimmäistä suojakopiosukupolvea säilytetään vuoden ajan, jolloin suojakopioinnin hallittu vuosirytmi edellyttää neljää täydellistä tallennusmediasarjaa.





Tiedon pakkaus tallennusmedialle
Suurten tietomäärien kyseessä ollen tiedon pakkaus on usein välttämätöntä. Pakkaus vie kuitenkin aikaa, eikä kaikkea tietoa voi pakata. Pakattu suojakopiotallenne tulee myös purkaa pakkausohjelmaa käyttäen. Tiedon pakkauksen perustana on algoritmi, joka on tarkka kuvaus siitä, miten tieto käsitellään. Algoritmista riippuu, kuinka kauan pakkaukseen kuuluu aikaa ja kuinka paljon tietoa saadaan tiivistettyä.

Pakkausmenetelmät jaetaan häviöttömiin ja häviöllisiin menetelmiin. Häviöllisen menetelmän käyttö ei ole suositeltavaa, koska pakkausmenetelmän valinta ja käyttöönotto suojakopioinnin yhteydessä edellyttää useiden eri asioiden huomioimista.

Suojakopion salakirjoitus
Suojakopioille ei ole suositeltavaa tehdä salakirjoitusoperaatioita, koska suojakopiotiedot on kyettävä palauttamaan muillakin ohjelmilla kuin millä ne on kirjoitettu. Salakirjoitetun suojakopion purkaminen saattaa muodostua mahdottomaksi, jos salakirjoitusavaimet ja tarvittavat ohjelmat eivät ole palautustilanteessa käytettävissä. Suojakopioiden käsittelyprosessit on suunniteltava ja toteuduttava muilla menettelyillä turvallisesti.

Ulkoiseen käyttöpalvelukeskukseen tukeutuvan yrityksen tulee huomioida, että mainframe käyttöpalveluympäristössä käyttövaltuuksia kontrolloi pääsääntöisesti keskuskoneen pääsynvalvontaohjelmisto esimerkiksi IBM-ympäristöissä RACF. Tämä merkitsee, että pääsynvalvontaohjelmiston kontrolli periytyy myös suojakopiolle. Tästä seuraa, että palautusympäristön on oltava täsmälleen samanlainen käyttöympäristö ohjelmistoineen, kuin aiempi käyttöympäristö on ollut. Tämä seikka aiheuttaa esteen suojakopioiden palauttamiselle, jos käyttöpalveluympäristöä joudutaan vaihtamaan.

Suojakopioprosessin dokumentointi
Suojakopiointiprosessi tulee dokumentoida. Dokumentaatiosta tulisi ilmetä mm. mitä kopioidaan ja miten. Varmistusmenettelyt tulisi kuvata käyttöjärjestelmien, varusohjelmien, sovellusohjelmien ja tietokantojen osalta. Dokumentaatiosta tulisi ilmetä mm. sukupolvikierto, testausmenettely, tietojen palautusmenettely ja vastuuhenkilöt.

Siirtoprosessi
Suojakopioiden koosta ja kopiointifrekvenssistä riippuen työmäärä ja kopioinnin kustannukset voivat poiketa merkittävästi manuaalisen vs. tietoliikenneratkaisun suhteen. Poikkeusoloissa on huomioitava mahdolliset tietoliikenneyhteyksien käyttörajoitukset, jolloin suojakopiolta palauttaminen normaaliolojen käyttöpalvelukeskuksiin saattaa vaikeutua. Tiedonsiirtoyhteys julkisen verkon yli tulee toteuttaa salattuna (SSL Secure Sockets Layer tai TLS Transport Layer Security).

Suojakopioarkiston sijainti
Yrityksen tulee määrittää suojakopiointiarkiston riittävä etäisyys esimerkiksi sotatilaan liittyvän uhkakuvamallin mukaisesti. Valitulla uhkakuvalla on keskeinen merkitys suojakopioarkiston sijaintipaikkaa ja suojaustasoa harkittaessa.

Suojakopioarkiston suojaus
Tallennusmedian tekniset ominaisuudet ja tietoturvavaatimukset asettavat suojakopioarkistolle vähimmäisvaatimukset. Lisävaatimuksia aiheutuu siitä, millaista uhkakuvaa vastaan suojakopioarkiston tulee tarjota suojaa.

Suojakopioarkiston tulee olla myös rakenteellisesti turvallinen ja suojata tietoja luvattomalta haltuunotolta. Suojakopioarkiston tulee tarjota asianmukainen kulunvalvonta ja murtosuojaus.

Sotatilaan pohjautuva uhkakuvamalli edellyttää EMP/HPM suojausta erityisesti, jos suojakopioidut tiedot ovat levytallennusjärjestelmissä. Riittävä varmuus EMP/HPM–suojauksen toimivuudesta voidaan saada ennakolta vain koestusmittauksella.

Suojakopioarkiston evakuointi
Suojakopioarkiston tulee olla tarvittaessa evakuoitavissa toiselle paikkakunnalle. Ulkoisen palveluntarjoajan suojakopiointiprosessissa tiedot tulee kopioida omaan nauhapooliin. Muussa tapauksessa palveluntarjoajalla tulisi olla käytössään prosessi, jolla yrityksen omat tiedot voidaan tarvittaessa erottaa omille tallennusmedioille muiden organisaation tiedoista.

Ulkoistetun käyttöpalveluympäristön ongelma
HSM-tallennusmenetelmä (Hierarchical Storage Manager) on nopea tapa käsitellä tallennettua dataa ja tarjoaa huomattavasti suuremman tallennuskapasiteetin kuin perinteiset tallennusmenetelmät. Myös tietojen luotettava palautus korvaavaan levyjärjestelmään on HSM:n keskeinen ominaisuus.

Hierarchical Storage Management -menetelmässä tiedostot sijoitetaan eri tallennusmedioille siten, että eniten käytetyt tiedostot ovat nopeimmalla medialla ja vähiten käytetyt hitaimmalla. Ulkoistetussa käyttöpalveluympäristössä datan purku asiakaskohtaisille tallennusmedioille tai omaan nauhapooliin on kuitenkin suuri haaste, ellei asiakkaalla ole käytössä omaa mainfarme -lohkoa.

Testausprosessi
Tietojen eheydellä on yrityksille suuri merkitys. Korruptoitunut tieto on arvotonta. Väärien tietojen periytyminen laajasti yrityksen operatiivisiin järjestelmiin aiheuttaisi runsaasti lisätyötä. Luottamuksen palauttamiseksi jokainen tieto olisi tarkistettava useaan kertaan ennen käyttöä. Järjestelmän eheyden korjauskulut seurannaisvaikutuksineen olisivat moninkertaisia testattuun suojakopiointipalveluun verrattuna.

Suojakopion tulee koostua loogisista osista, jotka voidaan testata itsenäisesti, koska täydellisen palautuksen testaaminen on käytännössä lähes mahdotonta ja aiheuttaisi merkittäviä kustannuksia. Ratkaisu on hyödyllinen myös niissä tilanteissa, joissa täysin vastaavan käyttöpalveluympäristön rekonstruointi on mahdotonta, jolloin ainoa mahdollisuus on palauttaa suojakopio yksittäisinä loogisina osina.

Testausmahdollisuus on huomioitava jo suojakopiointipalvelun suunnitteluvaiheessa. Ulkoiseen palveluun tukeutuvan yrityksen on vaadittava palvelulta testaussuunnitelma ja suunnitelma, kuinka suojakopiot palautetaan.

Suojakopion palautusprosessi on testattava ensimmäisen kerran palvelun implementoinnin yhteydessä. Tämän jälkeen palautusprosessi on testattava kerran vuodessa ja aina palautusprosessiin oleellisesti vaikuttavien muutosten yhteydessä. Toimenpiteillä voidaan varmistua, että suojakopiot ovat palautettavissa ja palautuksen tulos on eheä käyttökelpoinen tietojärjestelmä.

Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.


Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.
Takaisin sisältöön